DELIBERAZIONE N. 53/1 DEL

Transcript

1 Oggetto: Attribuzione delle funzioni di Responsabile della protezione dei dati per il sistema Regione previsto dagli articoli 37, 38 e 39 del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Il Presidente riferisce che con il Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 è stata adottata una nuova disciplina sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, che abroga la direttiva 95 /46/CE (regolamento generale sulla protezione dei dati). Il citato Regolamento, che esplicherà i propri effetti a partire dal 25 maggio 2018, persegue la finalità di assicurare un livello coerente ed elevato di protezione dei dati che riguardano le persone fisiche, equivalente in tutti gli Stati membri, e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'unione. In tale prospettiva, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è espressamente dichiarato diritto fondamentale e il regolamento richiama l'articolo 8, paragrafo 1 della Carta dei diritti fondamentali dell'unione europea e l'articolo 16, paragrafo 1 del Trattato sul funzionamento dell'unione europea, nei quali è stabilito che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. La principale novità introdotta dal Regolamento, rispetto alla disciplina precedente, è il principio di responsabilizzazione (così detta accountability), che attribuisce ai titolari del trattamento, ovverosia all'autorità pubblica che determina le finalità e i mezzi del trattamento dei dati personali, il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (articolo 5 del regolamento). Un'altra novità fondamentale introdotta dal Regolamento è l'istituzione (articoli 37 39) della figura del responsabile della protezione dei dati (RPD, ovvero DPO se si utilizza l'acronimo inglese Data Protection Officer), che costituisce il fulcro del processo di attuazione della nuova normativa. Il regolamento europeo dispone, infatti, che al RPD, la cui designazione è obbligatoria da parte del titolare del trattamento e del responsabile del trattamento ogniqualvolta il trattamento dei dati 1/8

2 personali sia effettuato da un'autorità pubblica o da un organismo pubblico, siano attribuiti almeno i seguenti compiti: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati, nonché delle misure assunte dal titolare del trattamento o dal responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento; d) cooperare con l'autorità di controllo; e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Il Presidente prosegue evidenziando che il Regolamento prevede che per poter correttamente adempiere ai suddetti compiti il responsabile della protezione dei dati deve essere individuato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i suddetti compiti e prescrive che la posizione del RPD nell'ambito dell'amministrazione sia caratterizzata da indipendenza e autonomia: riferisce direttamente al vertice, non deve ricevere alcuna istruzione in relazione all'esecuzione dei propri compiti e devono essergli attribuite risorse umane e finanziarie adeguate. Il regolamento (articolo 37) prescrive, altresì, che l'incarico in parola possa essere attribuito ad un dipendente del titolare del trattamento o del responsabile del trattamento (RPD interno) oppure che possa essere affidato ad un soggetto esterno, chiamato ad assolvere le proprie funzioni e i relativi compiti sulla base di un contratto di servizi stipulato con una persona fisica o giuridica. 2/8

3 Qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione e a condizione che sia in grado di adempiere in modo efficiente a tali funzioni. Sul tema dei responsabili della protezione dei dati, il Presidente riferisce che il 13 dicembre 2016 sono state adottate dal Gruppo di lavoro sulla tutela delle persone fisiche con riguardo al trattamento di dati personali, istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, delle specifiche Linee guida con la finalità di fare chiarezza sulle pertinenti disposizioni del regolamento, onde favorire l'osservanza della normativa da parte di titolari e responsabili del trattamento e di essere di ausilio ai RPD nell'esecuzione dei compiti loro attribuiti. Il documento contiene anche alcune raccomandazioni, in termini di migliori prassi, che scaturiscono dall'esperienza maturata sull'argomento da alcuni Stati membri. Le linee guida forniscono, in primo luogo, chiarimenti sui compiti che il regolamento affida al responsabile della protezione dei dati, specificando che questi assiste il titolare o il responsabile del trattamento nel controllo del rispetto a livello interno del regolamento e, in particolare, nella raccolta di informazioni per individuare i trattamenti svolti, nell'analisi e verifica dei trattamenti in termini di loro conformità, nell'attività di informazione, consulenza e indirizzo nei confronti del titolare o responsabile. E', inoltre, evidenziato il ruolo fondamentale del RPD nella valutazione di impatto sulla protezione dei dati e ai fini della cooperazione con l'autorità di controllo, quale referente per l'esercizio da parte di quest'ultima dell'accesso ai documenti e alle informazioni necessarie per l'adempimento dei compiti, nonché dei poteri di indagine, correttivi, autorizzativi e consultivi alla stessa assegnati dal regolamento. Con riferimento ai compiti affidati al RPD, le linee guida rilevano, inoltre, che, sebbene il regolamento (articolo 30) preveda che sia il titolare o il responsabile del trattamento, e non il RPD, a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità ovvero un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento, nella realtà, sono spesso i RPD (secondo una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell'ue) a realizzare l'inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. Atteso che l'art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD, in tale sede si 3/8

4 evidenzia che è possibile per il titolare o il responsabile del trattamento affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro, la cui tenuta è obbligatoria ai sensi dell'art. 30, va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile e consente al titolare e all'autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto; in quanto tale, esso costituisce un presupposto indispensabile ai fini dell'osservanza delle norme e, pertanto, un'efficace misura di responsabilizzazione. Nello svolgimento dei propri compiti, il responsabile della protezione dei dati deve considerare adeguatamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo (articolo 39, paragrafo 2); in sostanza - come spiegano le richiamate linee guida si chiede al RPD di definire, attraverso un approccio selettivo e pragmatico, un ordine di priorità nell'attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati. Il Presidente prosegue evidenziando che, in ordine alla posizione e alle modalità di individuazione del responsabile della protezione dei dati, le linee guida chiariscono le disposizioni del regolamento sottolineando che è essenziale che il responsabile della protezione dei dati e i suoi collaboratori siano coinvolti tempestivamente e adeguatamente e, comunque, quanto prima possibile, in ogni questione attinente la protezione dei dati. Il coinvolgimento del RPD, infatti, attraverso la sua informazione e consultazione fin dalle fasi iniziali, si ritiene che possa facilitare l'osservanza del regolamento e promuovere l'applicazione del principio di privacy (e protezione dati) fin dalla fase di progettazione. Le linee guida forniscono, altresì, chiarimenti in merito ai requisiti previsti dal regolamento ai fini della individuazione del RPD, ossia alle conoscenze specialistiche, alle qualità professionali e alla capacità di assolvere i propri compiti che lo stesso deve possedere. Il RPD è, infatti, chiamato a svolgere un ruolo chiave nel promuovere la cultura della protezione dei dati all'interno dell'azienda o dell'organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali. 4/8

5 Un particolare rilievo assumono anche le previsioni contenute nel regolamento nelle quali sono fissate garanzie essenziali per consentire ai RPD di operare con un sufficiente grado di autonomia all'interno dell'organizzazione del titolare/responsabile del trattamento. In tal senso, le richiamate linee guida, nel ribadire che il titolare o il responsabile del trattamento deve sostenere adeguatamente il RPD in termini di risorse finanziarie, strumentali e personale, fornendogli le risorse necessarie per assolvere i predetti compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica, attraverso una formazione permanente, precisano che quanto più aumentano complessità e/o sensibilità dei trattamenti, tanto maggiori devono essere le risorse messe a disposizione del RPD, posto che la funzione di protezione dei dati deve poter operare con efficienza e contare su risorse sufficienti in proporzione al trattamento svolto. Tali garanzie riguardano anche l'indipendenza del RPD nell'esercizio delle proprie funzioni, posto che come sopra ricordato riferisce direttamente al vertice gerarchico del titolare del trattamento e non può ricevere istruzioni sull'approccio da seguire nel caso specifico, ad esempio su come condurre gli accertamenti su un reclamo, sull'opportunità di consultare l'autorità di controllo o sull'interpretazione da dare ad una specifica questione attinente alla normativa in materia di protezione dei dati. Un'ulteriore garanzia a presidio dell'autonomia e dell'indipendenza del RPD nell'adempimento dei compiti assegnatigli consiste nel fatto che lo stesso non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l'adempimento dei propri compiti. Sul punto, le linee guida auspicano che i titolari e i responsabili del trattamento adottino misure volte ad assicurare la maggiore stabilità al contratto stipulato con il RPD e le maggiori tutele contro l'ingiusto licenziamento, cosicché possa essere maggiore la probabilità che l'azione del RPD si svolga in modo indipendente. Infine, strettamente connessa all'esigenza di indipendenza è l'assenza di conflitti di interesse. Atteso che al RPD possono essere affidati anche altri compiti e funzioni, a condizione che questi non diano adito ad un conflitto di interessi, si precisa che il RPD non deve rivestire, all'interno dell'organizzazione del titolare o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o delle modalità del trattamento di dati personali. Tali situazioni di conflitto sono ad esempio ravvisabili riguardo a ruoli manageriali di vertice o anche a posizioni inferiori se queste comportano la determinazione di finalità o mezzi del trattamento. Tra le buone prassi sul punto indicate dalle linee guida, si segnala l'individuazione delle qualifiche e delle funzioni che 5/8

6 sarebbero incompatibili con quella di RPD, la redazione di regole interne per evitare conflitti di interessi, una accurata descrizione dei casi di conflitto di interesse e la dichiarazione che il RPD non versa in alcuna situazione di conflitto di interesse, al fine di sensibilizzare in ordine al requisito in questione, nonché l'utilizzo di formulazioni sufficientemente precise e dettagliate, tali da prevenire conflitti di interessi, allorquando si proceda a segnalare la disponibilità di una posizione lavorativa quale RPD ovvero a redigere l'eventuale contratto di servizi. Quanto sopra rappresentato, il Presidente evidenzia l'esigenza di addivenire quanto prima possibile alla designazione del responsabile della protezione dei dati e l'opportunità che lo stesso sia designato per assolvere i propri compiti e le proprie funzioni in relazione all'amministrazione regionale e agli enti e agenzie che costituiscono ai sensi dell'articolo 1, comma 2 bis della legge regionale 13 novembre 1998, n. 31, il sistema Regione. Tale opzione, infatti, risulta opportuna sia in quanto appare utile che si addivenga, da parte di tutte le articolazioni che costituiscono il sistema Regione, a soluzioni uniformi rispetto alle problematiche applicative della normativa in argomento, sia per consentire al RPD di fruire di maggiori risorse in termini di mezzi e di personale per far fronte ai compiti e alle funzioni ad esso assegnati. In merito alla collocazione, nell'ambito dell'organigramma regionale, del RPD e della relativa struttura, dopo aver ricordato che è in corso l'iter per l'approvazione di un disegno di legge di modifica della legge regionale n. 31 del 1998 nel quale si configurano tra le articolazioni organizzative dell'amministrazione regionale, oltre alle direzioni generali, ai servizi e alle unità di progetto, anche uffici denominati speciali che possono essere istituiti per l'adempimento di funzioni specifiche rese obbligatorie dalla legislazione comunitaria, nazionale o regionale vigente, il Presidente ritiene che, nelle more dell'esame e della adozione di tale proposta di riforma, il RPD possa essere individuato quale responsabile di una nuova unità di progetto da costituire ai sensi dell'articolo 26 della legge regionale n. 31 del 1998 e ss.mm.ii. nell'ambito della Presidenza. Ciò posto, al fine di dare piena attuazione alle disposizioni normative e alle raccomandazioni sopra richiamate e assicurare al responsabile della protezione dei dati la maggior autonomia e indipendenza possibili, nonché di garantire che il RPD adempia in maniera efficiente le proprie funzioni, il Presidente propone di: - prevedere che il responsabile della protezione dei dati sia individuato tra i dipendenti dell'amministrazione regionale o degli enti, agenzie, aziende e istituti regionali che costituiscono il sistema Regione, come definito dal comma 2bis dell'articolo 1 della legge regionale 13 novembre 6/8

7 1998, n. 31; - prevedere che al responsabile della protezione dei dati, come sopra descritto, sia affidato l'incarico di assolvere i compiti previsti dal sopra richiamato Regolamento per tutto il sistema Regione; - istituire presso la Presidenza, secondo quando previsto dall'art. 26 della L.R. n. 31/1998, l'unità di Progetto denominata Responsabile della protezione dei dati per il sistema Regione, con il compito di dare attuazione ai molteplici adempimenti previsti dalla normativa europea e nazionale in materia; - dare mandato alla Direzione generale della Presidenza di avviare le procedure per designare il RPD quale responsabile della Unità di Progetto come sopra istituita, assicurando che lo stesso, mediante apposito avviso, sia scelto tra i dirigenti del Sistema Regione e nominato con Decreto del Presidente della Regione, laddove in possesso dei requisiti dettati dal Regolamento (UE) 2016 /679; - dare mandato all'assessorato della Programmazione, Bilancio, Credito e Assetto del Territorio, all'assessorato degli Affari Generali, Personale e Riforma della Regione, all'assessorato degli Enti Locali, Finanze e Urbanistica, di dotare l'unità di Progetto Responsabile della protezione dei dati per il sistema Regione delle risorse finanziarie (ricondotte a specifico CDR), umane, materiali e strumentali necessarie al suo funzionamento e all'assolvimento dei sopra esposti compiti. La Giunta regionale, udita e condivisa la proposta del Presidente DELIBERA - di prevedere che il responsabile della protezione dei dati sia individuato tra i dipendenti dell'amministrazione regionale o degli enti, agenzie, aziende e istituti regionali che costituiscono il sistema Regione, come definito dal comma 2bis dell articolo 1 della legge regionale 13 novembre 1998, n. 31; - di prevedere che al responsabile della protezione dei dati, come sopra descritto, sia affidato l'incarico di assolvere i compiti previsti dal sopra richiamato Regolamento per tutto il sistema Regione e di partecipare, in affiancamento al direttore generale degli Affari Generali e della 7/8

8 Società dell'informazione alla cabina di regia che verrà istituita per l'adeguamento del Sitema regione al GDPR; - di istituire presso la Presidenza, secondo quando previsto dall art. 26 della L.R. n. 31/1998, l'unità di Progetto denominata Responsabile della protezione dei dati per il sistema Regione, con il compito di dare attuazione ai molteplici adempimenti previsti dalla normativa europea e nazionale in materia; - di dare mandato alla Direzione generale della Presidenza di avviare le procedure per designare il RPD quale responsabile della Unità di Progetto come sopra istituita, assicurando che lo stesso, mediante apposito avviso, sia scelto tra i dirigenti del Sistema Regione e nominato con Decreto del Presidente della Regione, laddove in possesso dei requisiti dettati dal Regolamento (UE) 2016 /679; - di dare mandato all Assessorato della Programmazione, Bilancio, Credito e Assetto del Territorio, all'assessorato degli Affari Generali, Personale e Riforma della Regione, all Assessorato degli Enti Locali, Finanze e Urbanistica, di dotare l Unità di Progetto Responsabile della protezione dei dati per il sistema Regione delle risorse finanziarie (ricondotte a specifico CDR), umane, materiali e strumentali necessarie al suo funzionamento e all assolvimento dei sopra esposti compiti. Letto, confermato e sottoscritto. Il Direttore Generale Alessandro De Martini Il Presidente Francesco Pigliaru 8/8